แม้ว่างานวิจัยนี้จะทำโดยนักวิจัย และข้อมูลไม่ได้ถูกนำไปเผยแพร่ แต่ก็ถือเป็นกรณีศึกษาที่แสดงให้เห็นว่าแฮ็กเกอร์มักใช้วิธีการแบบนี้ในการขโมยข้อมูลผู้ใช้จาก API ที่เปิดเผยต่อสาธารณะโดยไม่มีการป้องกัน
การใช้ช่องโหว่ของ WhatsApp API
นักวิจัยจากมหาวิทยาลัย Vienna และ SBA Research ได้อาศัยฟีเจอร์การค้นหารายชื่อผู้ติดต่อของ WhatsApp ที่อนุญาตให้ส่งหมายเลขโทรศัพท์ไปยัง Endpoint ของ API ที่ชื่อว่า GetDeviceList เพื่อตรวจสอบว่าหมายเลขโทรศัพท์นั้นผูกอยู่กับบัญชีผู้ใช้ใดหรือไม่ และมีการใช้งานผ่านอุปกรณ์ใดบ้าง
หากไม่มีการจำกัดการเรียกใช้งานที่เข้มงวด API ในลักษณะนี้อาจถูกนำไปใช้ในการโจมตีเพื่อทำการตรวจสอบ และระบุข้อมูลบนแพลตฟอร์มในวงกว้างได้
นี่คือคำอธิบายส่วนหนึ่งจากงานวิจัยหัวข้อ "Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy" ได้อธิบายไว้ว่า "ด้วยข้อมูลจำนวน 3.5 พันล้านรายการ (ซึ่งก็คือบัญชีที่ยังมีการใช้งานอยู่จริง) เราได้วิเคราะห์ชุดข้อมูลเท่าที่เราทราบ คงจะถูกจัดอันดับให้เป็นการรั่วไหลของข้อมูลครั้งใหญ่ที่สุดในประวัติศาสตร์ หากว่าข้อมูลชุดนี้ไม่ได้ถูกรวบรวมขึ้นมาภายใต้โครงการวิจัยที่ดำเนินการอย่างถูกต้อง และมีความรับผิดชอบ"
ในเวลาต่อมา Meta ได้ยืนยันว่าข้อมูลดังกล่าวรั่วไหลจากการใช้งานโปรแกรมอัตโนมัติในการขโมยข้อมูลผ่าน API ที่ขาดมาตรการป้องกันที่เหมาะสม ส่งผลให้คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) สั่งปรับ Meta เป็นเงินจำนวน 265 ล้านยูโรจากเหตุการณ์ข้อมูลรั่วไหลในครั้งนั้น
Twitter ก็ประสบปัญหาในลักษณะเดียวกัน เมื่อผู้โจมตีอาศัยช่องโหว่ของ API เพื่อจับคู่หมายเลขโทรศัพท์ และ Email เข้ากับบัญชีผู้ใช้จำนวน 54 ล้านบัญชี
ทางด้าน Dell ได้เปิดเผยว่าข้อมูลลูกค้าจำนวน 49 ล้านรายการถูกขโมยออกไป หลังจากผู้โจมตีใช้การโจมตีจาก API Endpoint ที่ไม่มีการป้องกัน
เหตุการณ์ทั้งหมดนี้ รวมถึงกรณีของ WhatsApp ล้วนเกิดจาก API ที่ทำหน้าที่ค้นหาบัญชีหรือข้อมูลโดยปราศจากการจำกัดการใช้งานที่เพียงพอ ซึ่งทำให้ API เหล่านี้ตกเป็นเป้าหมายได้ง่ายสำหรับการขโมยข้อมูลในวงกว้าง
ทีมนักวิจัยได้รวบรวมรายการเบอร์โทรศัพท์มือถือของผู้ใช้ WhatsApp จำนวน 3.5 พันล้านหมายเลข พร้อมข้อมูลส่วนตัวที่เกี่ยวข้อง โดยอาศัยช่องโหว่จาก API สำหรับค้นหารายชื่อผู้ติดต่อที่ไม่มีระบบจำกัดจำนวนการเรียกใช้งาน
ทางทีมวิจัยได้แจ้งปัญหานี้ไปยัง WhatsApp แล้ว ซึ่งทางบริษัทก็ได้เพิ่มมาตรการป้องกันด้วยการจำกัดการเรียกใช้งาน เพื่อป้องกันไม่ให้เกิดการละเมิดในลักษณะเดียวกันนี้อีก
แม้ว่างานวิจัยนี้จะทำโดยนักวิจัย และข้อมูลไม่ได้ถูกนำไปเผยแพร่ แต่ก็ถือเป็นกรณีศึกษาที่แสดงให้เห็นว่าแฮ็กเกอร์มักใช้วิธีการแบบนี้ในการขโมยข้อมูลผู้ใช้จาก API ที่เปิดเผยต่อสาธารณะโดยไม่มีการป้องกัน
การใช้ช่องโหว่ของ WhatsApp API
นักวิจัยจากมหาวิทยาลัย Vienna และ SBA Research ได้อาศัยฟีเจอร์การค้นหารายชื่อผู้ติดต่อของ WhatsApp ที่อนุญาตให้ส่งหมายเลขโทรศัพท์ไปยัง Endpoint ของ API ที่ชื่อว่า GetDeviceList เพื่อตรวจสอบว่าหมายเลขโทรศัพท์นั้นผูกอยู่กับบัญชีผู้ใช้ใดหรือไม่ และมีการใช้งานผ่านอุปกรณ์ใดบ้าง
หากไม่มีการจำกัดการเรียกใช้งานที่เข้มงวด API ในลักษณะนี้อาจถูกนำไปใช้ในการโจมตีเพื่อทำการตรวจสอบ และระบุข้อมูลบนแพลตฟอร์มในวงกว้างได้
นักวิจัยพบว่ากรณีนี้เกิดขึ้นกับ WhatsApp จริง โดยพวกเขาสามารถส่งคำสั่ง Query ปริมาณมหาศาลตรงไปยังเซิร์ฟเวอร์ของ WhatsApp และสามารถตรวจสอบหมายเลขโทรศัพท์ได้มากกว่า 100 ล้านหมายเลขต่อชั่วโมง
พวกเขาดำเนินการทั้งหมดนี้จากเซิร์ฟเวอร์ของมหาวิทยาลัยเพียงเครื่องเดียว โดยใช้ Session ที่ยืนยันตัวตนแล้วเพียง 5 Session เท่านั้น ในตอนแรกพวกเขาคาดว่าจะถูก WhatsApp จับได้ แต่กลับกลายเป็นว่าแพลตฟอร์มไม่เคยบล็อกบัญชี, ไม่เคยจำกัดปริมาณ Traffic, ไม่เคยบล็อค IP address และไม่เคยติดต่อแจ้งเตือนใด ๆ แม้ว่าจะมีกิจกรรมที่เข้าข่ายการละเมิดกฎที่มาจากอุปกรณ์เพียงเครื่องเดียวก็ตาม
จากนั้นทีมนักวิจัยได้สร้างชุดหมายเลขโทรศัพท์มือถือที่เป็นไปได้ทั่วโลกจำนวน 6.3 หมื่นล้านหมายเลข และนำไปทดสอบกับ API ทั้งหมด ซึ่งผลการตรวจสอบพบว่ามีบัญชี WhatsApp ที่ใช้งานอยู่จริงถึง 3.5 พันล้านบัญชี
ผลลัพธ์ที่ได้ยังเผยให้เห็นภาพรวมการใช้งาน WhatsApp ทั่วโลกในแง่มุมที่ไม่เคยมีใครทราบมาก่อน โดยแสดงให้เห็นว่าพื้นที่ใดมีการใช้งานแพลตฟอร์มนี้มากที่สุด :
นอกจากนี้ ยังพบว่ามีบัญชีที่ใช้งานอยู่จริงหลายล้านบัญชีในประเทศที่ห้ามใช้ WhatsApp ในขณะนั้น ซึ่งได้แก่ จีน, อิหร่าน, เกาหลีเหนือ และเมียนมา โดยในกรณีของอิหร่าน ยอดการใช้งานยังคงเติบโตอย่างต่อเนื่องหลังจากมีการยกเลิกข้อห้ามดังกล่าวในเดือนธันวาคมปี 2024
นอกเหนือจากการยืนยันว่าหมายเลขโทรศัพท์นั้นมีการใช้งานบน WhatsApp แล้วหรือไม่นั้น ทีมนักวิจัยยังได้ใช้ API Endpoint อื่น ๆ เพื่อดึงข้อมูลเพิ่มเติมของผู้ใช้ ซึ่งรวมถึง GetUserInfo, GetPrekeys และ FetchPicture
ด้วยการใช้ API เพิ่มเติมเหล่านี้ นักวิจัยจึงสามารถรวบรวมรูปโปรไฟล์, ข้อความในส่วนของ about และข้อมูลเกี่ยวกับอุปกรณ์อื่น ๆ ที่ผูกอยู่กับหมายเลขโทรศัพท์ WhatsApp นั้น ๆ ได้
ในการทดสอบกับหมายเลขโทรศัพท์ในสหรัฐฯ สามารถดาวน์โหลดรูปโปรไฟล์ได้ถึง 77 ล้านรูปโดยไม่มีการจำกัดการใช้งาน ซึ่งหลายรูปเผยให้เห็นใบหน้าที่สามารถระบุตัวตนได้ และหากมีการเปิดเผยข้อความในส่วนของ "About" เป็นสาธารณะ ก็จะทำให้เห็นรายละเอียดส่วนตัว และลิงก์ไปยังบัญชีโซเชียลมีเดียอื่น ๆ ได้ด้วยเช่นกัน
สุดท้ายแล้ว เมื่อนักวิจัยนำสิ่งที่ค้นพบไปเปรียบเทียบกับเหตุการณ์การขโมยข้อมูลหมายเลขโทรศัพท์บน Facebook ในปี 2021 พวกเขาพบว่า 58% ของหมายเลขที่รั่วไหลจาก Facebook ยังคงใช้งาน WhatsApp อยู่ในปี 2025 นักวิจัยอธิบายว่า การรั่วไหลของหมายเลขโทรศัพท์ในวงกว้างนั้นสร้างความเสียหายอย่างมาก เพราะข้อมูลเหล่านี้ยังสามารถนำไปใช้ประโยชน์ในกิจกรรมที่ประสงค์ร้ายอื่น ๆ ได้ต่อเนื่องไปอีกหลายปี
นี่คือคำอธิบายส่วนหนึ่งจากงานวิจัยหัวข้อ "Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy" ได้อธิบายไว้ว่า "ด้วยข้อมูลจำนวน 3.5 พันล้านรายการ (ซึ่งก็คือบัญชีที่ยังมีการใช้งานอยู่จริง) เราได้วิเคราะห์ชุดข้อมูลเท่าที่เราทราบ คงจะถูกจัดอันดับให้เป็นการรั่วไหลของข้อมูลครั้งใหญ่ที่สุดในประวัติศาสตร์ หากว่าข้อมูลชุดนี้ไม่ได้ถูกรวบรวมขึ้นมาภายใต้โครงการวิจัยที่ดำเนินการอย่างถูกต้อง และมีความรับผิดชอบ"
"ชุดข้อมูลนี้ประกอบไปด้วยหมายเลขโทรศัพท์, ข้อมูล Timestamps, ข้อความในส่วนของ About, รูปโปรไฟล์ และ Public keys สำหรับการเข้ารหัสแบบ E2EE ซึ่งหากข้อมูลชุดนี้ถูกเผยแพร่ออกไป ย่อมส่งผลกระทบเชิงลบต่อผู้ใช้งานที่มีข้อมูลอยู่ในชุดข้อมูลดังกล่าวด้วย"
กรณีเหตุการณ์อื่น ๆ ของการนำ API ไปใช้ในการขโมยข้อมูล
การที่ WhatsApp ไม่จำกัดการเรียกใช้งานสำหรับ API นั้นสะท้อนให้เห็นถึงปัญหาที่แพร่หลายบนแพลตฟอร์มออนไลน์ต่าง ๆ ซึ่ง API มักถูกออกแบบมาเพื่ออำนวยความสะดวกในการแชร์ข้อมูล และทำภารกิจต่าง ๆ ให้ง่ายขึ้น แต่ในขณะเดียวกัน มันก็กลายเป็นช่องโหว่ที่ทำให้เกิดการขโมยข้อมูลในวงกว้างได้
ในปี 2021 ผู้ไม่หวังดีได้ใช้ bug ในฟีเจอร์ "Add Friend" ของ Facebook ที่อนุญาตให้อัปโหลดรายชื่อผู้ติดต่อจากโทรศัพท์เพื่อตรวจสอบว่ารายชื่อเหล่านั้นใช้งานแพลตฟอร์มอยู่หรือไม่ อย่างไรก็ตาม API ตัวนี้ก็ไม่ได้มีการจำกัดการส่ง request อย่างเหมาะสม จึงทำให้ผู้ไม่หวังดีสามารถรวบรวมข้อมูลโปรไฟล์ของผู้ใช้ได้มากกว่า 533 ล้านคน ซึ่งรวมถึงหมายเลขโทรศัพท์, Facebook ID, ชื่อ และเพศ
ในเวลาต่อมา Meta ได้ยืนยันว่าข้อมูลดังกล่าวรั่วไหลจากการใช้งานโปรแกรมอัตโนมัติในการขโมยข้อมูลผ่าน API ที่ขาดมาตรการป้องกันที่เหมาะสม ส่งผลให้คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) สั่งปรับ Meta เป็นเงินจำนวน 265 ล้านยูโรจากเหตุการณ์ข้อมูลรั่วไหลในครั้งนั้น
Twitter ก็ประสบปัญหาในลักษณะเดียวกัน เมื่อผู้โจมตีอาศัยช่องโหว่ของ API เพื่อจับคู่หมายเลขโทรศัพท์ และ Email เข้ากับบัญชีผู้ใช้จำนวน 54 ล้านบัญชี
ทางด้าน Dell ได้เปิดเผยว่าข้อมูลลูกค้าจำนวน 49 ล้านรายการถูกขโมยออกไป หลังจากผู้โจมตีใช้การโจมตีจาก API Endpoint ที่ไม่มีการป้องกัน
เหตุการณ์ทั้งหมดนี้ รวมถึงกรณีของ WhatsApp ล้วนเกิดจาก API ที่ทำหน้าที่ค้นหาบัญชีหรือข้อมูลโดยปราศจากการจำกัดการใช้งานที่เพียงพอ ซึ่งทำให้ API เหล่านี้ตกเป็นเป้าหมายได้ง่ายสำหรับการขโมยข้อมูลในวงกว้าง
ที่มา : bleepingcomputer